Académique Documents
Professionnel Documents
Culture Documents
Zamora Ecuador ------------------------------------------------------------------------------------------------------------Zamora Chinchipe Direccin: Avenida del Ejrcito Telf. 605241; Telefax 606162
Al Lic. Bolvar Arvalo RECTOR DEL ISPED JORGE MOSQUERA 1. He auditado el rea informtica correspondiente al servicio del laboratorio de sistemas y he evaluado el nivel de riesgo de informtica que el centro de apoyo que el Instituto Pedaggico Jorge Mosquera de la ciudad de Zamora presenta al 27 de mayo del 2010, con las notas y anexos que se adjuntan, preparados por el Ingeniero Eduardo Ramrez. Los hechos presentes en el rea de informtica del laboratorio, son responsabilidad de quienes hacen uso del servicio de informtica; mi responsabilidad es expresar una opinin sobre dichos hechos basados en nuestra auditora. 2. He conducido la prctica de acuerdo con los lineamientos de las Normas Interbnacionales de Auditoria (NIA), Normas de Auditora Generalmente Aceptadas y a las Normas Ecuatorianas de Auditora aplicables a la auditora informtica. No existen normas formales expresas relacionadas directamente con la auditora informtica por lo que ha sido preciso adoptar Normas generales para la ejecucin de nuestro trabajo. Estas normas requieren planear y efectuar el proceso de auditora para obtener seguridad razonable con el propsito de informar si los hechos a revisar presentan riesgos significativos. Este examen incluye pruebas selectivas que respaldan exposiciones de los hechos presentes. Consideramos que la auditora suministra una base razonable para nuestra opinin. Se realiz un chequeo general al ambiente hardware para conocer el estado actual de los equipos multiusuario Se efectu una revisin general del ambiente software para conocer el estado actual de los programas. Se evalu el servicio de informtica de acuerdo a cuestionarios de estudio o seguimiento, con el propsito de conocer los principales inconvenientes y requerimientos tanto de catedrticos como de alumnos y adems se incluy en este estudio la opinin del laboratorista. Se examin la estructura del laboratorio con respecto a la distribucin de las mquinas con el propsito de conocer la factibilidad de una distribucin ms ptima.
3. Este dictamen est destinado para ser utilizado segn estime conveniente de acuerdo a su criterio y
aclaramos que esta prctica de auditora informtica se realiz con el propsito principal de poner en prctica los conocimientos adquiridos en la ctedra de Auditora Informtica, ofrecer un aporte al mejoramiento del servicio que brinda la universidad respecto al rea informtica y aplicar en la prctica los conocimientos de la ctedra correspondiente a esta materia. 4. El rea informtica del laboratorio de sistemas presenta un nivel de riesgo medio en sus aspectos ms significativos para la presente fecha, aunque su nivel de servicio se presta razonablemente de acuerdo a los medios existentes para ofrecerse.
Elaborar un listado de las mquinas y de los programas ms usados usando el listado Sugerido
02-03-10
Inventario
L-1
Especificar y documentar las observaciones especiales de las mquinas que requieran una apreciacin exclusiva. Como el servidor, Equipos con componentes especiales, etc.
02-03-10
L-2
02-03-10
D-1
Elaborar un diagrama de la estructura y conexiones de red con los correspondientes equipos. 02-03-10 AN-1
No. 1
Procedimiento
Realizar un listado de los principales programas instaladas en los equipos con los listados para cada PC. Seleccionar los programas ms importantes para anlisis y elaborar un listado de los mismos Verificar y listar los controles existentes para el manejo de los programas, como accesos y otros. Solicitar al responsable del laboratorio copias sobre documentacin existente acerca de manuales, polticas, horarios, registros sobre usuarios de Internet, entre otros y hacer un chequeo para anlisis. Elaborar una Matriz DOFA Sobre los componentes generales del laboratorio tomando en cuenta los aspectos de servicio para los estudiantes , profesores, controles y requerimiento Definir con precisin el alcance de la auditoria
Responsable(s)
Fecha
03-03-10
Documentacin a examinar
PT
L-3
la 15
03-03-10
L-4
03-03-10
L-5
03-03-10
03-03-10
03-03-10
04-03-10
Listas de estudiantes
04-03-10
09-03-10
B-3
5 6
09-03-10 11-03-10
B-4 AN-2
12-03-10
B-5
13-03-10
B-6
INFORME DE AUDITORIA
SOBRE LA PRCTICA DE AUDITORIA INFORMTICA EFECTUADA AL 27 DE MAYO DEL 2010 EN EL ISPED JORGE MOSQUERA DE ZAMORA
Al Lic. Bolvar Arvalo RECTOR DEL ISPED JORGE MOSQUERA En uso de su aprobacin para la realizacin de la prctica de auditora informtica en el laboratorio de la universidad, se procedi a ejecutar el plan general de la prctica presentado el da lunes 27 de Mayo del 2010, cuyos detalles de la ejecucin se muestran en el presente informa de anexos: I. OBJETO DE AUDITORIA
Llevar a la prctica los conocimientos recibidos dentro de la ctedra correspondiente a esta rea. Adems la revisin y estudio del servicio de informtica que presta la universidad dentro del laboratorio. El perodo auditado en el presente informe se extiende desde el 02/03/10 hasta el 31/05/10.
II. ALCANCE DEL EXAMEN
El presente examen fue realizado de conformidad con las normas de auditora generalmente aceptadas, habindose practicado los siguientes procedimientos:
1. Anlisis y estudio del rea informtica:
Entorno Software general: programas y aplicaciones. Entorno Hardware: equipos y accesorios. Anlisis FODA: debilidades, Oportunidades, Fortalezas y Amenazas.
- A 2 catedrticos del rea de informticas. - A 50 estudiantes de la carrera de informtica. - Responsables del laboratorio.
4. Requerimientos de informacin:
- Informacin general del servicio de informtica. - Descripcin del hardware (ordenadores) - Descripcin del software. - Sistemas de seguridad. - Aplicaciones.
5. Elaboracin de cuestionarios:
Los cuestionarios fueron elaborados teniendo en cuenta los aspectos generales que esta auditora puede abarcar, como el conocimiento de las principales dificultades que se presentan en el laboratorio y el requerimiento de recursos.
III.
ACLARACIONES PREVIAS
1. Sobre el alcance de la auditora: Se ha de realizado la auditora enfocada nicamente a un anlisis interno dado el corto periodo en el cual se ha iniciado el servicio del laboratorio. 2. Sobre el aspecto legal: Conocemos que no es procedente la revisin de certificados de autorizacin para el uso del software que se utiliza en el laboratorio y puesto que es claro que este aspecto est relacionado con los costos del servicio, solo hacemos hincapi que las decisiones sobre este aspecto deben ser consideradas nicamente por la direccin de la universidad. 3. Sobre la opinin de los encuestados: Hemos decidido reservar las opiniones individuales de los estudiantes y profesores que fueron entrevistados, por razones de discrecin por lo que haremos referencia nicamente a los "resultados de las encuestas" en el momento de mencionar algunas referencias relacionados con estas. IV COMENTARIOS Y OBSERVACIONES 1. Sobre el Servidor: Las caractersticas de hardware del servidor son las mismas que las de los computadores para usuarios. Este equipo requiere de caractersticas especiales para un mejor desempeo. Nuestra recomendacin es implementar un servidor con mayor capacidad o mejorar las caractersticas existan fallas regulares. del servidor actual para evitar que
2. Sobre los Quemadores de CD: Los equipos para usuarios no cuentan con quemadores individuales que faciliten el almacenamiento de informacin y adems con frecuencia el laboratorista debe atender a varias personas para grabar informacin en CD's, lo que hace que se pierda. Actualmente, se utilizan CD's para almacenar archivos de gran tamao. Nuestra sugerencia es instalar al menos en la mayora de los equipos los DVD Writers. Esto reducir la prdida de tiempo para los usuarios y puede evitar la prdida de informacin por daos en las computadoras. 3. Sobre el requerimiento de un UPC: No existe un sistema de control para fallos de energa elctrica, lo cual puede ocasionar daos en las mquinas y prdida de informacin. Para evitar prdidas de informacin y daos en los equipos, es conveniente adquirir sistemas UPC, que protejan los equipos de los cortes del fluido elctrico. 4. sobre el requerimiento de Equipos: Los equipos actuales no son suficientes para las prcticas de los estudiantes. Es evidente el incremento del nmero de estudiantes y es una prioridad para el inicio del siguiente ao acadmico contar con un nmero mayor de equipos de cmputo. Este informe incluye en el anexo una distribucin sugerida para la instalacin de 20 Pc's en el aula anterior al laboratorio.
B) En el entorno Software:
1. sobre los programas y utilitarios: Aqu se encuentran algunas observaciones respecto a algunos programas importantes que -deben ser optimizados para evitar prdidas de tiempo:
Utilitarios importantes
Estado
Observaciones
Bueno
Requiere mantenimiento frecuente Se debe prohibir la descarga e instalacin de nuevas barras de herramientas y programas similares. Existe el Programa Firewall q se activa frecuentemente y no permite el normal funcionamiento.
Internet
Bueno
Antivirus Net
Regular
2. Sobre programas mal instalados: Algunas mquinas poseen los programas incompletos como es el caso de Office 2007 que en algunas ocasiones solicita el Cd instalador para activar alguna funcin especial. Recomendamos que para los programas ms importantes la instalacin se haga completa, pera no ocasionar prdidas de tiempo a los usuarios, salvo si esto implica un bajo rendimiento de las mquinas. 3. Sobre proteccin antivirus: Se utiliza actualmente el antivirus Nod 32 y Avast. Aunque no todos los antivirus que hay en el mercado presentan alta efectividad, se recomienda siempre que las mquinas posean mnimo 2 programas antivirus para mayor eficacia en el mantenimiento. 4. Sobre las actualizaciones: Tanto equipos como software requieren de actualizaciones peridicas de acuerdo a los requerimientos generales del Instituto. Estas actualizaciones no se hacen siguiendo una normativa establecida y se requiere establecer los parmetros para efectuar dichas actualizaciones. Tales parmetros pueden ser: la frecuencia con la que se debe actualizar los equipos, el tipo de actualizacin, el cuidado que se debe tener con los computadores actualizados, entre otras.
Actualmente se utiliza el programa Firewall: Zone Alarm Pro, El programa Lavasoft, Con buenos resultados, sin embargo se activa continuamente y dificulta el normal funcionamiento de algunos programas. Recomendamos el uso de sistemas como el que incluye Internet Explorer en la opcin de seguridad como indica en el grfico, en donde es posible restringir los accesos a sitios con alto riesgo de virus, y a la vez las restricciones pueden configurarse con contraseas. El uso de esta herramienta de Internet, tiene la ventaja de que no requiere una gran cantidad de memoria adicional para este proceso, lo cual no reduce la velocidad considerablemente.
D) En el servicio:
1. Sobre la distribucin de los equipos: Los equipos han sido distribuidos en forma tcnica para el momento del inicio del laboratorio. Sin embargo, con el incremento de alumnos en la carrera de sistemas se requiere una reubicacin y una distribucin ms ptima en un sitio con capacidad para un nmero mayor de computadores. 2. Sobre la coordinacin de horarios: No se llevan a cabo juntas de rea entre catedrticos de sistemas que permitan coordinar de mejor forma las actividades a realizar durante el periodo acadmico. Recomendamos que con anticipacin, se realicen juntas de rea solo entre los catedrticos que hacen uso del laboratorio para que los laboratoristas tengan tiempo suficiente para la instalacin de los programas que sern utilizados por dichos catedrticos.
3. Sobre la elaboracin de manuales de procedimiento: No existen manuales de procedimiento con los que se ejecuten procesos importantes dentro del laboratorio. Se requieren elaborar manuales de procedimientos avalados por la direccin, que permitan un correcto uso de las mquinas, y que mencionen procedimientos importantes como: 5.1 Instalacin de programas. 5.2 Reparaciones emergentes. 5.3 Desinstalacin de programas no utilizados. 5.4 Sanciones por incumplimiento de las normas internas del laboratorio. 5.5 Actualizaciones. 5.6 Mantenimiento.
V.
1. 2. 3. 4. 5. 6. 7.
RECOMENDACIONES
Tener mejor control de las personas que ingresan a laboratorio Realizar mantenimiento de los equipos peridicamente. Aumentar la capacidad del servidor. Instalar DVD Writers en la mayora de las mquinas. Adquirir e instalar un UPC para seguridad elctrica Adquirir ms equipos con caractersticas idneas de rendimiento Instalar las aplicaciones importantes correctamente y completamente y adems cuidar en un sitio seguro los cd's instaladores. 6. Instalar dos programas antivirus en los equipos. 7. Puede usarse el firewall de Internet Explorer con contrasea para evitar las interrupciones continuas. 8. Instar a los estudiantes a un uso correcto del servicio de informtica y al cuidado de los equipos. 9. Utilizar el servicio de Internet para crear un campus virtual como un servicio adicional dentro de la institucin. 10. Elaborar manuales de procedimiento para el desarrollo de procesos como instalaciones, Reparaciones emergentes, mantenimiento, entre otros.
11. VI.
Anexo 1
Anlisis FODA
Hemos elaborado una matriz de anlisis FODA para evaluar el servicio de informtica, la cual presentamos a continuacin:
Debilidades
Espacio fsico insuficiente Poca ventilacin Distribucin de equipos poco apropiada Equipos insuficientes Algunos programas estn mal instalados por ser copias.
Oportunidades
Actualizacin de equipos y software Capacitacin constante Ampliacin del espacio fsico Mantenimiento permanente Equipos propios de la institucin Conexin en red Servicio de Internet gratuito para estudiantes Conexin a tierra 2 Laboratoristas Horario extendido hasta las 14:00PM
Fortalezas
Amenazas
Anexo 2
Distribucin sugerida para los equipos en el saln contiguo al laboratorio
13Mts.
Anexo 3
N
1
Pregunta Cuenta con los recursos suficientes para llevar a cabo la ctedra sin inconvenientes? Cree usted que se deben hacer mejorar importantes para el servicio de informtica? Qu tipo de mejoras considera que se deben hacer al corto plazo?
Cul de los siguientes aspectos considera que podra desarrollarse en mayor medida dentro de esta universidad? Piensa usted que es posible Obtener un mejor beneficio con la tecnologa de Internet con la que cuenta la universidad? Ha tenido inconvenientes relativos al rea de informtica en el
Tecnologa en equipos
Desarrollo de software y capacitacin en nuevas aplicaciones
Anexo 4
Instituto Pedaggico Jorge Mosquera Centro Zamora
CUESTIONARIO DE ESTUDIO PARA ESTUDIANTES Fecha :_______________ Elaborado por :___________________________________ Revisado por :___________________________________ Nombre del encuestado :___________________________________
Marque con una X la casilla correspondiente a la respuesta y llene las especificaciones segn opinin personal.
Pregunta Cuenta con los recursos suficientes para recibir la ctedra sin inconvenientes?
-
Respuestas
S No Si No Se requieren recursos como:
S dentro del presente ao S pero en los siguientes aos
Cree usted que se deben hacer mejorar importantes para recibir un mejor servicio en informtica? Qu tipo de mejoras considera que se deben hacer al corto plazo? En cul de los siguientes aspectos le interesara especializarse? (Marque solo uno)
Tecnologa en equipos Desarrollo de software y capacitacin en nuevas aplicaciones Servicios de Internet Comunicaciones y Redes Aplicaciones multimedia
Piensa usted que es posible Obtener un mejor beneficio con la tecnologa de Internet con la que cuenta a universidad?
S No
Ha tenido inconvenientes al momento de recibir las ctedras de sistemas dentro del laboratorio?
No
Anexo 5
Instituto Pedaggico Jorge Mosquera Centro Zamora
CUESTIONARIO DE ESTUDIO PARA LABORATORISTA
Marque con una X la casilla correspondiente a la respuesta y llene las especificaciones segn opinin personal.
No. 1
Pregunta Cules son segn su criterio, los recursos ms indispensables para mejorar el servicio de informtica? Cree usted que se deben hacer mejorar Si importantes para brindar un mejor servicio en informtica? Qu sistemas de seguridad existen para evitar prdidas o daos de las mquinas? Ejemplo: Conexin a tierra, UPS, vigilancia, etc,
No
Respuestas
SISTEMA
Qu sistemas de seguridad existen para evitar prdidas o daos de la informacin? Ejemplo: Antivirus, Copias de respaldo importantes en CDs, etc.
SISTEMA
Piensa usted que es posible Obtener S un mejor beneficio con la tecnologa de Internet con la que cuenta la universidad? Ha tenido inconvenientes en el S desempeo de sus actividades?
PRIMERA FASE: Diagnstico preliminar y definicin de reas auditables (Mayo del 2010) Plan general:
.
No. 1
Actividad Conocimiento general del laboratorio Objetivo: Tener una visin inicial para el anlisis de auditora en el laboratorio.
Fecha 03-2010
Responsable(s)
PT
Revisin del Ambiente Hardware Objetivo: Conocer el estado de las mquinas y sus accesorios Revisin del ambiente Software Objetivo: Reconocer los programas existentes y su estado de funcionamiento
Anlisis DOFA(Debilidades, Fortalezas y Amenazas) Oportunidades,
03-2010
A-2
03-2010
A-3
03-2010
A-3
Objetivo: Realizar un diagnstico previo al desarrollo de los procedimientos de auditora informtica. 5 Definicin del Alcance de auditora Objetivo: Especificar la cobertura del estudio de auditoria para la aplicacin de los procedimientos. 03-2010 A-3
SEGUNDA FASE:
Desarrollo de la Auditora (Abril del 2010)
Plan General
No. Actividad 1 Entrevistas personales a catedrticos de la asignatura de sistemas Objetivo: Conocer la opinin de los catedrticos sobre los requerimientos en el laboratorio de informtica Entrevistas personales a estudiantes de sistemas Objetivo: Conocer la opinin de los estudiantes sobre los requerimientos y e! servicio de informtica Entrevista a los laboratoristas Objetivo: identificar las principales dificultades dentro del laboratorio de informtica Tabulacin de datos Objetivo: Organizar la informacin obtenida para el proceso de anlisis Anlisis de la informacin Objetivo: Determinar, comparar, detallar y documentar los aspectos ms importantes que se definan en el rea de informtica Identificacin de riesgos Objetivo: Obtener una idea precisa de la estructura y funcionamiento del servicio de informtica e identificar los riesgos potencias que se pueden cometer --en eh tratamiento de la informacin: almacenamiento, seguridad, comunicaciones. Obtencin de las conclusiones Objetivo: Elaborar una lista de los primeros resultados sobre el estudio de la informacin recopilada. Fecha
04-2010
Responsable(s) "
PT B-1
04-2010
B-2
04-2010
B-3
04-2010
B-4
04-2010
B-5
04-2010
B-6
04-2010
B-7
TERCERA FASE:
Plan general
No. Actividad 1 Elaboracin del informe en borrador Objetivo: Documentar el primer informe para discusin. Discusin del primer informe Objetivo: Considerar la opinin de las 3 personas incluidas en la auditora Elaboracin del informe final Objetivo: Argumentar el informe definitivo para su respectiva presentacin: Presentacin del informe final Objetivo: Entregar el informe de auditora informtica final al Dr. Lenin Burbano, Director del centro de apoyo Uniandes Ibarra Fecha Responsable(s)
05-2010
05-2010
05-2010
05-2010